Nedostatak kvalifikovanog kadra u oblasti sajber-bezbednosti

Novo globalno istraživanje kompanije Kaspersky pokazalo je da su nedostatak kvalifikovanih stručnjaka za IT bezbednost i potreba da globalne organizacije postavljaju prioritete među različitim bezbednosnim zadacima među glavnim faktorima koji otežavaju ublažavanje rizika od napada na lanac snabdevanja i napada putem odnosa poverenja (trusted relationship attacks). Oba faktora navodi gotovo polovina ispitanika (42%).

Nedavna studija kompanije Kaspersky[1] o rizicima u lancu snabdevanja i odnosima poverenja pokazala je da su napadi na lanac snabdevanja postali jedna od vodećih pretnji za poslovne organizacije, pri čemu je svaka treća organizacija bila pogođena takvim napadom tokom protekle godine. Ozbiljnost i učestalost ovih napada ukazuju na potrebu da se identifikuju ključni razlozi zbog kojih organizacije ne uspevaju da se efikasno nose sa tim rizicima.

Prema rezultatima ankete, jedna od glavnih prepreka za smanjenje rizika u lancu snabdevanja i u odnosima poverenja jeste nedostatak kvalifikovane radne snage. Ovaj manjak ostavlja organizacije bez kapaciteta da kontinuirano pristupaju i nadgledaju potencijalne ranjivosti trećih strana u okviru sopstvenih ekosistema.

Među drugim ključnim preprekama, ispitanici su naveli i potrebu za istovremenim upravljanjem brojnim prioritetima u oblasti sajber-bezbednosti. Ovo odražava činjenicu da su bezbednosni timovi često preopterećeni velikim brojem zadataka u isto vreme, zbog čega pretnje u lancu snabdevanja mogu ostati nedovoljno adresirane.

Pored ograničenih resursa, ispitanici su ukazali i na strukturne probleme: 39% njih navodi da ugovori sa izvođačima radova ne sadrže jasno definisane obaveze u vezi sa IT bezbednošću. Dodatnih 32% ispitanika ističe da zaposleni koji nisu iz oblasti IT bezbednosti često ne razumeju u potpunosti ove rizike.

Na globalnom nivou, prema istraživanju, čak 85% kompanija priznaje da njihove organizacije moraju unaprediti zaštitu od rizika u lancu snabdevanja i napada putem odnosa poverenja, dok samo 15% preduzeća smatra da su njihove trenutne bezbednosne mere efikasne. Nivo poverenja u postojeće mere dodatno opada u ključnim ekonomijama poput Nemačke (6%), Turske (7%), Italije (8%), Brazila (8%), Rusije (8%) i Saudijske Arabije (9%).

Istovremeno, rezultati ankete pokazuju da su postojeće prakse ublažavanja rizika povezanih sa trećim stranama fragmentisane, pri čemu nijedna metoda zaštite ne koristi više od 40% organizacija koje trenutno primenjuju takve mere. Čak se i najčešća zaštitna mera — dvofaktorska autentifikacija (two-factor authentication) — koristi kod samo 38% ispitanika.

Pored toga, samo 35% organizacija sprovodi redovne provere bezbednosnog stanja svojih izvođača i dobavljača. Kao rezultat toga, gotovo dve trećine kompanija nema kontinuirani uvid u nivo bezbednosti svojih partnera, što ih izlaže promenljivim ranjivostima unutar njihovih poslovnih ekosistema.

Zanimljivo je da kompanije koje su već bile pogođene napadima na lanac snabdevanja ili napadima putem odnosa poverenja češće usvajaju strože bezbednosne prakse. Organizacije koje su pretrpele incidente u lancu snabdevanja češće zahtevaju rezultate penetracionih testova (— u 56% slučajeva — dok žrtve kompromitovanja odnosa poverenja daju prioritet proverama usklađenosti sa industrijskim standardima (56%) i politikama upravljanja lancem snabdevanja svojih izvođača (53%).

„Kada su bezbednosni timovi preopterećeni, kadrovski nedovoljno popunjeni i primorani da daju prioritet hitnim zadacima umesto dugoročnim ciljevima otpornosti sistema, organizacije ostaju izložene pretnjama koje mogu neprimetno da se kreću kroz ekosistem njihovih dobavljača. Da bi se prekinuo ovaj ciklus, industrija mora usvojiti ujednačenije i doslednije strategije ublažavanja rizika — od standardizovanih procena dobavljača do jačanja svesti među timovima. Bezbednost lanca snabdevanja treba da postane zajednička i obavezujuća odgovornost čitave poslovne mreže“, izjavio je Dragan Davidović, generalni dierketor kompanije Kaspersky za istočnu Evropu.

Samo primenom preventivnih mera na nivou cele organizacije i strateškim pristupom partnerstvima sa dobavljačima i izvođačima kompanije mogu smanjiti rizike u lancu snabdevanja i obezbediti otpornost svog poslovanja.

Kako bi se ovi rizici ublažili, kompanija Kaspersky preporučuje sledeće mere:

Primena upravljanih bezbednosnih usluga– Organizacije koje nemaju sopstvene resurse za sajber-bezbednost mogu koristiti usluge eksternih provajdera. Rešenja poput Kaspersky Managed Detection and Response (MDR) i/ili Incident Response pokrivaju kompletan ciklus upravljanja incidentima – od identifikacije pretnji do kontinuirane zaštite i sanacije posledica.

Ulaganje u dodatnu obuku iz sajber-bezbednosti – Unapredite znanje zaposlenih kroz praktično orijentisane kurseve, samostalne ili uživo, u okviru programa Kaspersky Cybersecurity Training, koji stručnjacima pomažu da razviju tehničke veštine (hard skills) i zaštite organizacije od sofisticiranih napada.

Temeljna procena dobavljača pre sklapanja ugovora – Proverite njihove politike sajber-bezbednosti, podatke o prethodnim incidentima i usklađenost sa industrijskim bezbednosnim standardima. Kada je reč o softverskim i cloud uslugama, preporučuje se i analiza podataka o ranjivostima i rezultata penetracionih testova.

Uvođenje ugovornih bezbednosnih zahteva – Ugovori sa dobavljačima treba da sadrže konkretne zahteve u vezi sa informacionom bezbednošću, uključujući redovne bezbednosne revizije, usklađenost sa bezbednosnim politikama organizacije i protokole za prijavu bezbednosnih incidenata.

Saradnja sa dobavljačima u oblasti bezbednosti – Jačanje zaštite na obe strane i postavljanje bezbednosti kao zajedničkog prioriteta.

[1] Za potrebe izveštaja, interni centar za istraživanje tržišta kompanije Kaspersky sproveo je anketu među 1.714 tehničkih stručnjaka, uključujući zaposlene na C-level pozicijama, potpredsednike, rukovodioce timova i starije specijaliste iz kompanija sa više od 500 zaposlenih. Istraživanje je obuhvatilo 16 zemalja: Nemačku, Španiju, Italiju, Brazil, Meksiko, Kolumbiju, Singapur, Vijetnam, Kinu, Indiju, Indoneziju, Saudijsku Arabiju, Tursku, Egipat, Ujedinjene Arapske Emirate i Rusiju.